USGS防火墻配置說明_第1頁
USGS防火墻配置說明_第2頁
USGS防火墻配置說明_第3頁
USGS防火墻配置說明_第4頁
USGS防火墻配置說明_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、U S G 6 3 1 0 S 防 火 墻 配 置 說 明概述防火墻使用場(chǎng)景為子站保護(hù)管理機(jī)(安全 II 區(qū))接入站內(nèi)繼保保護(hù)裝置(安全 I 區(qū)),通過對(duì) IP 地址及端口進(jìn)行限制,達(dá)到阻止非法訪問的目的。為方便現(xiàn)場(chǎng)調(diào)試及日后維護(hù)工作現(xiàn)規(guī)定如下:1) 防火墻 ETH0 接從交換機(jī)過來的網(wǎng)線;2) 防火墻 ETH4 接從子站管理機(jī)過來的網(wǎng)線。登錄將筆記本通過網(wǎng)線接入防火墻的 ETH0 ,通過瀏覽器訪問 。用戶名: admin 、密 碼: Admin123 (初始密碼)進(jìn)行配置,第一次登錄時(shí)需要修改密碼,將密碼改為 “Nice2003 ”。登錄后設(shè)置界面如下圖所示圖 錯(cuò)誤!文檔中沒有指定樣式的文字

2、。 -1 登錄首頁 網(wǎng)絡(luò)配置點(diǎn)擊快捷按鈕“網(wǎng)絡(luò)”,可以對(duì)所使用的接入口進(jìn)行配置,操作順序如下圖所示: 裝置后面板網(wǎng)口標(biāo)識(shí) 0 至 7 與配置頁面中接口名稱對(duì)應(yīng)關(guān)系如下: 后面板 ETH0 對(duì)應(yīng)配置頁面中接口 GE0/0/0后面板 ETH1 對(duì)應(yīng)配置頁面中接口 GE0/0/1后面板 ETH7 對(duì)應(yīng)配置頁面中接口 GE0/0/71.1. ETH0 配置ETH 保留作為配置使用。出廠時(shí)已經(jīng)設(shè)好,無需變更。圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -2 ETH0 配置1.2. ETH1 配置選擇 GE0/0/1 行右則的編輯 ,在彈出的界面中設(shè)置如下:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -3 ETH1

3、配置配置項(xiàng)如下:別名:保護(hù)安全區(qū)域: trust模式:交換連接類型: Access 確定后第一次操作會(huì)彈出提示,如下圖所示,確定即可。圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -4 模式切換確認(rèn)提示1.3. ETH4 配置選擇 GE0/0/4 行右則的編輯 ,在彈出的界面中設(shè)置如下:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -5 ETH4 配置配置項(xiàng)如下:別名:子站安全區(qū)域: dmz模式:交換連接類型: Access對(duì)象配置對(duì)象配置中主要配置需放行的 IP及端口號(hào), IP 在“地址”中配置、端口號(hào)在“服務(wù)中 配置”,配置操作順序如下圖所示:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -6 對(duì)象配置操作順序1

4、.1. 地址配置首次配置選擇“新建”,如已有配置則選擇“編輯”,配置界面如下圖所示:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -7 保護(hù) IP 配置注:1) 第行可配置 1 個(gè) IP/ 范圍或 MAC 地址,行之間使用回車分隔;2) IP配置支持多種方式,若連續(xù)的 IP,可在首末 2個(gè)IP 之間通過“-”連接,如; 新建地址分兩部分,一是可以通過 IP,一是需要屏蔽的 IP圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -8 子站地址配置1.2. 服務(wù)配置1.1.1. 服務(wù)配置服務(wù)配置中我們選擇放行的端口,根據(jù)實(shí)際配置:常用放行的端口如下:icmp:ping 服務(wù)1.1.2. 服務(wù)組配置為方便選擇及管理,將

5、子站與保護(hù)通信的端口歸到保護(hù)通信組中。策略點(diǎn)擊快捷按鈕“策略”,可以對(duì)所使用的策略進(jìn)行配置,操作順序如下圖所示:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -9 策略配置順序通過策略配置對(duì)需要從防火墻放行的 IP 及服務(wù)進(jìn)行配置,配置如下:圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -10 子站至保護(hù)策略圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -11 保護(hù)至子站策略保存配置修改完畢,按界面右上角“保存”,如下圖所示保存所做的配置。圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -12 保存配置重啟點(diǎn)擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹中選擇“系統(tǒng)重啟”,選擇“保存并重啟”,彈出確 認(rèn)對(duì)話框,確定即可。重啟后所做的配置即生

6、效,防火墻裝置重啟后至系統(tǒng)正常時(shí)間 較長。備份點(diǎn)擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹中選擇“配置文件管理”,選擇“導(dǎo)出”,在彈出的 對(duì)話框中選擇文件備置位置及文件名,確定即可。圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -13 備份導(dǎo)出復(fù)位當(dāng)無法測(cè)試出防火墻的登錄密碼后,可在防火墻通電正常運(yùn)行后用頂端尖硬的物 體去捅防火墻后面板上 RST 鍵 5 秒以上,防火墻會(huì)清空當(dāng)前配置恢復(fù)出廠設(shè)置。 復(fù)位 過程中前面板 SYS 燈先熄滅、后閃爍最后長亮,如果想快速啟動(dòng)可在按 RST 鍵 5 秒 后關(guān)電重啟防火墻。附錄1.1. 同一安全區(qū)域多個(gè)網(wǎng)口同一安全區(qū)域如 trust 若有多個(gè)網(wǎng)線接入, 將接入網(wǎng)口的安全區(qū)域

7、配置成待加入的 安全區(qū)域即可。同區(qū)域內(nèi)多個(gè)網(wǎng)口間是互通,與交換機(jī)類似。對(duì)象及策略無需特殊配 置。圖 錯(cuò)誤!文檔中沒有指定樣式的文字。 -14 同安全區(qū)域多個(gè)網(wǎng)口接入1.2. 配置案例!Software Version V500R001C30SPC100!Last configuration was saved at 2017-08-21 01:42:05 UTC#sysname USG6300#undo l2tp sendaccm enablel2tp domain suffix-separator #ipsec sha2 compatible enable#undo factory-conf

8、iguration prohibit#undo telnet server enableundo telnet ipv6 server enable#clock timezone Beijing add 08:00:00hrp configuration auto-check 1440firewall detect ftp#firewall defend action discard#log type traffic enablelog type syslog enablelog type policy enableundo log type threat enableundo log typ

9、e url enableundo log type um enable#undo dataflow enable#sa force-detection enable#isp name china mobile set filename china-mobile.csvisp name china unicom set filename china-unicom.csvisp name china telecom set filename china-telecom.csvisp name china educationnet set filename china-educationnet.cs

10、vuser-manage web-authentication security port 8887password-policylevel highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage sso-sync radiuspage-settinguser-manage security version tlsv1.1 tlsv1.2#firewall ids authentication type sha256#snmp-agen

11、t session history-max-number enable#web-manager security version tlsv1.1 tlsv1.2web-manager enableweb-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop#update schedule ips-sdb daily 22:10update schedule av-sdb daily 22:10update schedule sa-sdb daily

12、 22:10update schedule cnc daily 22:10#ip vpn-instance defaultipv4-family#ip address-set 保護(hù)地址 type object#ip address-set 子站地址 type object#time-range worktimeperiod-range 08:00:00 to 18:00:00 working-day#aaaauthentication-scheme defaultauthentication-scheme admin_localauthentication-scheme admin_radiu

13、s_local authentication-scheme admin_hwtacacs_local authentication-scheme admin_ad_local authentication-scheme admin_ldap_local authentication-scheme admin_radiusauthentication-scheme admin_hwtacacsauthentication-scheme admin_adauthentication-scheme admin_ldapauthorization-scheme defaultaccounting-sc

14、heme defaultdomain defaultservice-type internetaccess ssl-vpn l2tp ikeinternet-access mode passwordreference user current-domainmanager-user audit-adminpassword cipher%nQX1YTEIm/KF=h;&6)jh3D2e=!|2t2e%(*8*TdYjh6)% service-type web terminallevel 15manager-user api-adminpassword cipher%+VN+pRIl*YyIIT+3

15、(8B8G)*:zmSCqC&uOr4jk;3(;+% service-type apilevel 15manager-user adminpassword cipher%VA3aSb0(40m7kA%,L-pmHVj4O-WZsc6dlp,L0% service-type web terminallevel 15role system-adminrole device-adminrole device-admin(monitor)role audit-adminbind manager-user audit-admin role audit-adminbind manager-user ad

16、min role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0undo shutdownip binding vpn-instance default service-manage http permit service-manage https permit service-manage ping permit#interface GigabitEthernet0/0/1 portswitch undo shutdown port link-type accessalias 保護(hù) interface Gi

17、gabitEthernet0/0/2undo shutdown#interface GigabitEthernet0/0/3undo shutdown#interface GigabitEthernet0/0/4 portswitchundo shutdownport link-type accessalias 子站#interface GigabitEthernet0/0/5undo shutdown#interface GigabitEthernet0/0/6undo shutdown#interface GigabitEthernet0/0/7undo shutdowninterface

18、 Virtual-if0 # interface Cellular0/0/0# interface NULL0# firewall zone localset priority 100# firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet0/0/1 # firewall zone untrustset priority 5# firewall zone dmzset priority 50add interface GigabitEthernet0/0/4 #undo ssh server compatible-ssh1x enable user-interface con 0 authentication-mode aaauser-interface vty 0 4 authentication-mode aaa protocol inbound sshuser-interface vty 16 20#sa#location#multi-interfacemode proportion-of-weight#rig

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論